Vyhledávání na webu

Vytvořte infrastrukturu Active Directory pomocí Samba4 na Ubuntu – část 1

Samba je bezplatný software s otevřeným zdrojovým kódem, který poskytuje standardní interoperabilitu mezi operačními systémy Windows a Linux/Unix.

Samba může fungovat jako samostatný souborový a tiskový server pro klienty Windows a Linux prostřednictvím sady protokolů SMB/CIFS nebo může fungovat jako řadič domény Active Directory nebo se může připojit k Realm jako Člen domény. Nejvyšší úroveň domény a doménové struktury AD DC, kterou aktuálně může Samba4 emulovat, je Windows 2008 R2.

Série se bude jmenovat Nastavení Samba4 Active Directory Domain Controller, která pokrývá následující témata pro Ubuntu, CentOS a Windows silný>:

Tento výukový program začne vysvětlením všech kroků, které musíte provést, abyste mohli nainstalovat a nakonfigurovat Samba4 jako řadič domény na Ubuntu 16.04 a Ubuntu 14.04.

Tato konfigurace poskytne centrální bod správy pro uživatele, stroje, sdílené svazky, oprávnění a další zdroje ve smíšené infrastruktuře Windows – Linux.

Požadavky:

  1. Instalace serveru Ubuntu 16.04.
  2. Instalace serveru Ubuntu 14.04.
  3. Statická adresa IP nakonfigurovaná pro váš server AD DC.

Krok 1: Počáteční konfigurace pro Samba4

1. Než budete pokračovat v instalaci Samba4 AD DC, proveďte nejprve několik předem požadovaných kroků. Nejprve se pomocí níže uvedeného příkazu ujistěte, že je systém aktuální s posledními bezpečnostními funkcemi, jádry a balíčky:

sudo apt-get update 
sudo apt-get upgrade
sudo apt-get dist-upgrade

2. Dále otevřete soubor /etc/fstab v počítači a ujistěte se, že váš souborový systém oddílů má povoleny ACL, jak je znázorněno na níže uvedeném snímku obrazovky.

Běžné moderní systémy souborů Linux, jako jsou ext3, ext4, xfs nebo btrfs, obvykle podporují a mají povoleny seznamy ACL výchozí. Pokud tomu tak není u vašeho systému souborů, stačí otevřít soubor /etc/fstab pro úpravy a přidat řetězec acl na konec třetího sloupce a restartovat > stroj, aby bylo možné provést změny.

3. Nakonec nastavte název hostitele počítače s popisným názvem, jako je adc1 použitý v tomto příkladu, úpravou souboru /etc/hostname nebo vydávání.

sudo hostnamectl set-hostname adc1

Po změně názvu počítače je nutné provést restartování, aby bylo možné změny použít.

Krok 2: Nainstalujte požadované balíčky pro Samba4 AD DC

4. Chcete-li transformovat svůj server na řadič domény Active Directory, nainstalujte do počítače Sambu a všechny požadované balíčky vydáním níže uvedeného příkaz s oprávněními root v konzole.

sudo apt-get install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind

5. Během instalace se instalační program zeptá na řadu otázek za účelem konfigurace řadiče domény.

Na první obrazovce budete muset přidat název pro Kerberos výchozí REALM velkými písmeny. Zadejte název, který budete pro svou doménu používat, velkými písmeny a pokračujte stisknutím Enter.

6. Dále zadejte název hostitele serveru Kerberos pro vaši doménu. Použijte stejný název jako pro svou doménu, tentokrát s malými písmeny, a pokračujte stisknutím Enter.

7. Nakonec zadejte název hostitele pro administrativní server vaší sféry Kerberos. Použijte stejnou doménu jako svou doménu a dokončete instalaci stisknutím Enter.

Krok 3: Zajištění Samba AD DC pro vaši doménu

8. Než začnete konfigurovat Sambu pro vaši doménu, nejprve spusťte níže uvedené příkazy, abyste zastavili a deaktivovali všechny démony samby.

sudo systemctl stop samba-ad-dc.service smbd.service nmbd.service winbind.service
sudo systemctl disable samba-ad-dc.service smbd.service nmbd.service winbind.service

9. Dále přejmenujte nebo odeberte původní konfiguraci samby. Tento krok je bezpodmínečně nutný před zřízením Samba AD, protože v době poskytování Samba vytvoří nový konfigurační soubor od začátku a vyvolá nějaké chyby v případě, že najde starý smb.conf.

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.initial

10. Nyní spusťte zřizování domény interaktivně zadáním níže uvedeného příkazu s právy root a přijměte výchozí možnosti, které vám Samba poskytuje.

Také se ujistěte, že jste zadali IP adresu pro DNS forwarder ve vaší provozovně (nebo externí) a zvolili silné heslo pro administrátorský účet. Pokud zvolíte týdenní heslo pro administrátorský účet, zřízení domény selže.

sudo samba-tool domain provision --use-rfc2307 --interactive

11. Nakonec přejmenujte nebo odstraňte hlavní konfigurační soubor Kerberos z adresáře /etc a nahraďte jej pomocí symbolického odkazu nově vygenerovaným souborem Kerberos Samba umístěným v /var/lib /samba/private zadáním následujících příkazů:

sudo mv /etc/krb5.conf /etc/krb5.conf.initial
sudo ln -s /var/lib/samba/private/krb5.conf /etc/

12. Spusťte a povolte démony Samba Active Directory Domain Controller.

sudo systemctl start samba-ad-dc.service
sudo systemctl status samba-ad-dc.service
sudo systemctl enable samba-ad-dc.service

13. Dále použijte příkaz netstat k ověření seznamu všech služeb, které Active Directory vyžaduje ke správnému fungování.

sudo netstat –tulpn| egrep ‘smbd|samba’

Krok 4: Finální konfigurace Samby

14. V tuto chvíli by měla být Samba ve vašich prostorách plně funkční. Nejvyšší úroveň domény, kterou emuluje Samba, by měla být Windows AD DC 2008 R2.

Lze to ověřit pomocí nástroje samba-tool.

sudo samba-tool domain level show

15. Aby rozlišení DNS fungovalo lokálně, musíte otevřít a upravit nastavení síťového rozhraní a nastavit rozlišení DNS úpravou názvových serverů DNS výpis na IP adresu vašeho řadiče domény (pro místní překlad DNS použijte 127.0.0.1) a výpis dns-search, který odkazuje na váš říše.

sudo cat /etc/network/interfaces
sudo cat /etc/resolv.conf

Po dokončení restartujte svůj server a podívejte se na soubor resolveru, abyste se ujistili, že odkazuje zpět na správné jmenné servery DNS.

16. Nakonec otestujte překladač DNS zadáním dotazů a příkazů ping proti některým klíčovým záznamům AD DC, jak je uvedeno v níže uvedeném úryvku. Podle toho nahraďte název domény.


ping -c3 tecmint.lan         #Domain Name
ping -c3 adc1.tecmint.lan   #FQDN
ping -c3 adc1               #Host

Spusťte několik následujících dotazů na Samba Active Directory Domain Controller.


host -t A tecmint.lan
host -t A adc1.tecmint.lan
host -t SRV _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record

17. Také ověřte autentizaci Kerberos tím, že si vyžádáte lístek pro účet správce domény a vypíšete lístek uložený v mezipaměti. Část názvu domény pište velkými písmeny.

kinit [email 
klist

To je vše! Nyní máte ve své síti nainstalovaný plně funkční AD Domain Controller a můžete začít integrovat stroje Windows nebo Linux do Samba AD<.

V další sérii se budeme zabývat dalšími tématy Samba AD, například jak spravovat svůj řadič domény z příkazového řádku Samba, jak integrovat Windows 10 do názvu domény a vzdáleně spravovat Samba AD pomocí RSAT a dalších důležitých témat.